C’è una nuova minaccia informatica che sta seminando il panico in rete. Ed è Voldemort. No, non è il famoso antagonista della serie di Harry Potter: si tratta di un malware che dal 5 agosto ad oggi ha già colpito oltre 70 aziende in tutto il mondo, in particolare le compagnie assicurative.
Voldemort, il malware che mima il Fisco e non solo
Riferisce Bleeping Computer, a identificare questa nuova minaccia è stato il Threat Research Team della società di cybersecurity Proofpoint.
Particolarità di questo malware, progettato per raccogliere una vasta gamma di dati sensibili, è il fatto di essere trasmesso attraverso delle particolari email phishing (circa 20mila quelle già inviate), grazie alle quali arriva addirittura a impersonare le autorità fiscali presenti in Europa, Asia e Stati Uniti. In Italia, riferisce Wired, nelle sue email è riuscito a mimare addirittura l’Agenzia delle Entrate.
Utilizzando il pretesto di “notificare” dei documenti ufficiali, queste email permettono al malware di infiltrarsi nei sistemi informatici delle aziende, in modo da condurre atti di spionaggio industriale.
Tutto ciò suggerisce che dietro questa campagna potrebbe esserci un gruppo criminale più pericoloso di quanto sembri, capace grazie a questo malware di stabilire una presenza duratura e non autorizzata all’interno delle reti aziendali.
Come funziona la campagna email
Per diffondere questo malware, i cybercriminali hanno creato delle email personalizzate utilizzando le informazioni pubbliche relative alle aziende, in modo che le vittime credano che si trattino davvero di email delle autorità fiscali.
Così facendo, esse sono più spinte a cliccare sul link presente nell’email, che le indirizza a pagine web dove viene richiesto loro di cliccare su un altro link per visualizzare i documenti “ufficiali”. Proprio questo link attiva il download del malware, camuffato da documento PDF.
Altra particolarità del malware Voldemort è quella di agire furtivamente all’interno dei sistemi infetti, sfruttando anche strumenti comuni come Google Sheets per comunicare con il server. Grazie a questa sua capacità, il malware riesce a non farsi rilevare dai sistemi di sicurezza, poiché utilizza servizi ampiamente utilizzati nelle aziende, rendendo difficile il blocco delle comunicazioni.
Nonostante la mancanza di informazioni precise su chi sia dietro questa campagna, i ricercatori di Proofpoint hanno fornito alcune raccomandazioni alle aziende per proteggersi da Voldemort. Tra le misure consigliate, vi è la limitazione dell’accesso ai servizi di condivisione file esterni ai soli server sicuri e il blocco delle connessioni a TryCloudflare se non strettamente necessario per scopi aziendali.
